Overwegingen voor soevereiniteit voor Azure-landingszones
Het aannemen van cloud-computing terwijl aan vereisten voor digitale soevereiniteit wordt voldaan, is complex en kan sterk verschillen tussen organisaties, branches en geografische gebieden. Microsoft Cloud for Sovereignty is gericht op de soevereiniteitsbehoeften van overheidsorganisaties door de kracht van het wereldwijde Azure-platform te combineren met verschillende soevereiniteitsmogelijkheden die zijn ontworpen om soevereiniteitsrisico's te beperken.
Microsoft Cloud for Sovereignty
Microsoft Cloud for Sovereignty biedt mogelijkheden in verschillende lagen:
- Geavanceerde soevereine controleservices zoals Azure Confidential Computing en Azure Key Vault Managed Hardware Security Module (Managed HSM)
- Soevereine kaders door gecodificeerde architectuur, workloadversnellers, gelokaliseerde Azure Policy-initiatieven, hulpprogramma's en richtlijnen
- Naleving en transparantie van regelgeving in de activiteiten van de cloudoperator
- Functionaliteit die is gebouwd op basis van de mogelijkheden van de openbare Azure-cloud
Klanten in de openbare sector met soevereiniteitsbehoeften die azure willen gaan gebruiken, kunnen profiteren van Microsoft Cloud for Sovereignty. De hulpprogramma's en richtlijnen die Microsoft Cloud for Sovereignty biedt, zoals de soevereine landingszone (preview), kunnen de definitie en implementatie van een onafhankelijke omgeving versnellen.
Soevereine landingszone
De onafhankelijke landingszone (preview) is een op maat gemaakte variant van de Architectuur van de Azure-landingszone die is bedoeld voor organisaties die geavanceerde soevereiniteitscontroles nodig hebben. De onafhankelijke landingszone (preview) is afgestemd op Azure-mogelijkheden, zoals servicelocatie, door de klant beheerde sleutels, Azure Private Link en confidential computing om een cloudarchitectuur te maken waarin gegevens en workloads standaard versleuteling en bescherming bieden tegen bedreigingen.
Notitie
Microsoft Cloud for Sovereignty is gericht op overheidsorganisaties met soevereiniteitsbehoeften. U moet zorgvuldig overwegen of u de Microsoft Cloud for Sovereignty-mogelijkheden nodig hebt en pas vervolgens de soevereine landingszonearchitectuur (preview) kunt gebruiken.
Ontwerpgebieden voor onafhankelijke landingszones
De architectuur van de Azure-landingszone bestaat uit acht ontwerpgebieden. Elk ontwerpgebied beschrijft factoren die u moet overwegen voordat u een landingszone implementeert. In de volgende secties worden aanvullende overwegingen beschreven die van toepassing zijn wanneer u de soevereine landingszone (preview) implementeert. Houd naast de richtlijnen voor de Azure-landingszone ook rekening met deze nieuwe overwegingen.
Organisatie van resources
De onafhankelijke landingszone is een aangepaste versie van de conceptuele architectuur van de Azure-landingszone. De onafhankelijke landingszone is afgestemd op de richtlijnen die worden beschreven in de architectuur van de Azure-landingszone aanpassen.
Beheergroepen voor confidential computing
Zoals in het volgende diagram wordt weergegeven, bouwt de architectuur van de soevereine landingszone voort op de Architectuur van de Azure-landingszone:
- Onder de beheergroep Landingszones worden de vertrouwelijke bedrijfs - en vertrouwelijke onlinebeheergroepen toegevoegd.
- Er wordt ook een reeks specifieke beleidsinitiatieven toegepast, bijvoorbeeld basislijn voor Microsoft Cloud for Sovereignty-beleid. Deze initiatieven bieden besturingselementen zoals de locatie van de resource-implementatie, resource-implementatietypen en versleuteling.
Basislijn voor Microsoft Cloud for Sovereignty-beleid
De onafhankelijke landingszone (preview) wordt geleverd met de basislijninitiatieven van het Microsoft Cloud for Sovereignty-beleid. Als gevolg hiervan kunt u andere beleidssets implementeren binnen de onafhankelijke landingszone (preview). U kunt extra beleidsregels op de soevereine landingszone (preview) plaatsen. Voorbeelden hiervan zijn beleidsregels en beleidssets voor Azure-landingszones die betrekking hebben op frameworks voor controle, zoals National Institute of Standards and Technology (NIST) 800 171 Revision 2 en Microsoft Cloud Security Benchmark.
De basislijn voor het Microsoft Cloud for Sovereignty-beleid bestaat uit:
- Beleid voor het afdwingen van het gebruik van vertrouwelijke computingresources wanneer workloads worden geïmplementeerd in de vertrouwelijke beheergroepen. Deze beleidsregels helpen bij het maken van een platform waarin workloads in rust worden beveiligd, in transit en in gebruik, waardoor Microsoft uit de vertrouwensketen wordt verwijderd.
- Locatiebeleidsregels, die standaard ook worden geïmplementeerd om cloudbeheerders controle te bieden over waar Azure-resources kunnen worden geïmplementeerd.
- Sleutelbeheer, dat wordt beheerd door een Federal Information Processing Standard (FIPS) 140-2 level-3 gevalideerde HSM en wordt afgedwongen door beleid.
Het beleid en de meningen die de onafhankelijke landingszone (preview) toevoegt boven op de Azure-landingszone, maken standaard een platform dat vooroordelen heeft ten aanzien van meer beveiliging en vertrouwelijkheid.
Raadpleeg de documentatie over het portfolioportfolio van Microsoft Cloud for Sovereignty voor meer informatie over het basisinitiatief voor soevereiniteitsbeleid.
Netwerktopologie en -connectiviteit
De onafhankelijke landingszone (preview) is gericht op operationele controle van data-at-rest, in transit en in gebruik.
Versleuteling van netwerkverkeer
Zie Vereisten voor netwerkversleuteling definiëren voor aanbevolen procedures voor netwerkversleuteling.
Inkomende en uitgaande internetconnectiviteit
Net als bij implementaties van Azure-landingszones ondersteunt de implementatie van de soevereine landingszone:
- Een geparameteriseerde implementatie van de Premium-laag van Azure Firewall voor het inschakelen van DDoS-beveiliging (Distributed Denial-of-Service).
- De implementatie van een centrale Azure Bastion-infrastructuur.
Voordat u deze functies inschakelt, raadpleegt u de aanbevolen procedures voor inkomende en uitgaande internetconnectiviteit in Plan voor inkomende en uitgaande internetverbinding.
Beveiliging
De architectuur van de onafhankelijke landingszone maakt gebruik van confidential computing in de vertrouwelijke landingszones. In de volgende secties worden services beschreven die ondersteuning bieden voor Azure Confidential Computing.
Beheerde HSM van Azure Key Vault
Key Vault is een noodzakelijke service voor het implementeren van vertrouwelijke computingresources. Zie Versleuteling en sleutelbeheer in Azure voor ontwerpoverwegingen en aanbevelingen. Mogelijk moet u azure Key Vault Managed HSM kiezen voor nalevingsvereisten.
Azure Attestation
Als u Azure Confidential Computing gebruikt, kunt u gebruikmaken van de functie voor gastattest van Azure Attestation. Met deze functie kunt u bevestigen dat een vertrouwelijke VM wordt uitgevoerd op een op hardware gebaseerde TRUSTED Execution Environment (TEE) met beveiligingsfuncties zoals isolatie en integriteit ingeschakeld.
Beheer
In de meeste gevallen voeren Microsoft-medewerkers bewerkingen, ondersteuning en probleemoplossing uit en is er geen toegang tot klantgegevens vereist. Af en toe moet een Microsoft-technicus toegang hebben tot klantgegevens. Deze gevallen kunnen optreden als reactie op door de klant geïnitieerde ondersteuningstickets of wanneer Microsoft een probleem identificeert.
Klanten-lockbox voor Microsoft Azure
In zeldzame gevallen waarin toegang is vereist, kunt u Customer Lockbox voor Microsoft Azure gebruiken. Deze functie biedt een interface die u kunt gebruiken om aanvragen voor toegang tot klantgegevens te beoordelen en vervolgens goed te keuren of af te wijzen.
Overweeg klant-lockbox in te schakelen. U moet een globale Beheer rol hebben om deze functie in te schakelen, omdat dit een tenantbrede instelling is. Zie Customer Lockbox voor Microsoft Azure voor meer informatie over het correct instellen van op rollen gebaseerd toegangsbeheer voor Customer Lockbox.
Platformautomatisering en DevOps
De onafhankelijke landingszone (preview) is beschikbaar als een GitHub-opslagplaats.
Implementatieopties
U kunt de hele landingszone implementeren of u kunt één onderdeel tegelijk implementeren. Wanneer u afzonderlijke onderdelen implementeert, kunt u deze integreren in uw bestaande implementatiewerkstroom. Zie De belangrijkste onderdelen van de preview-implementatie van de onafhankelijke landingszone voor hulp bij de implementatie.
Notitie
De onafhankelijke landingszone (preview) is een variant van de Azure-landingszone. Maar de onafhankelijke landingszone biedt nog niet alle implementatieopties die beschikbaar zijn voor de Architectuur van de Azure-landingszone. Zie Belangrijke onderdelen van de preview-implementatie van de onafhankelijke landingszone voor informatie over het implementeren van een onafhankelijke landingszone.
De GitHub-opslagplaats bevat de volgende onderdelen van de soevereine landingszone (preview):
Bootstrap: Stelt de hiërarchie van de beheergroep in en maakt de abonnementen zoals bepaald door de architectuur van de onafhankelijke landingszone (preview). Deze elementen worden geïmplementeerd in de hoofdgroep van de tenant van de Azure-klanttenant.
Platform: Hiermee stelt u het hubnetwerk en de logboekregistratiebronnen in die worden gebruikt door het platform en workloads van de onafhankelijke landingszone (preview).
Naleving: hiermee maakt en wijst u de standaardbeleidssets en de aangepaste beleidsregels toe die in de omgeving worden afgedwongen.
Dashboard: Biedt een visuele weergave van uw resourcecompatibiliteit.
Nalevingsdashboard
Een nalevingsdashboard wordt geïmplementeerd als onderdeel van de implementatie van de onafhankelijke landingszone (preview). Dit dashboard helpt u bij het valideren van de onafhankelijke landingszone (preview) op basis van uw vereisten en lokale wetten en regelgeving. Het dashboard biedt u meer inzicht in naleving op resourceniveau op basis van:
- Het basislijnbeleid dat wordt geïmplementeerd met de soevereine landingszone (preview).
- Andere aangepaste naleving die is geïmplementeerd.
Zie de documentatie voor het nalevingsdashboard voor meer informatie.